过去一周我多次收到来自 Windows Defender 的以下通知。
我相信的事情:
- 它是恶意软件
- 它试图隐藏 Windows Defender 中的内容
- Windows Defender 无法对此采取任何措施,只能禁止该操作
我该如何进一步调查此事,比如找出实际执行该命令的内容?
我也尝试阅读“了解更多”链接,并安装卡巴斯基的反恶意软件工具,但它似乎没有意识到这个问题。
以下是警报中的部分文字,供将来可能搜索此内容的人参考:
VirTool:Win32/ExcludeProc.A
CmdLine: C:\Windows\System32\cmd.exe /C cmd /c powershell.exe -NoP -NonI -W Hidden -exec bypass Add-MpPreference -ExclusionProcess 'C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe'
答案1
同样的问题!很多虚拟机被感染(DC 和 Hypervisor 也一样)。Windows Defender 检测并停止了进程,但没有检测到攻击者。卡巴斯基反勒索软件工具检测到两种类型的感染:trojan.win32.bazon.a 和 trojan.win32.genautorunserviceimagepath.a
所有版本的 Windows Server 都受到此问题的影响。任务管理器 CPU 使用率在许多 Powershell 任务中显示为 100%。很容易终止该进程。
我们在 Windows 自动启动菜单中发现了一个“cmd.bat”,并在 C:\Windows\System32\WindowsPowerShell\v1.0\ 中发现了一个 powershell 脚本
希望可以帮到你!